Frecuentemente publicamos actualizaciones de nuestra documentación. Es posible que la traducción de esta página esté en curso. Para conocer la información más actual, visita la documentación en inglés. Si existe un problema con las traducciones en esta página, por favor infórmanos.

Acerca de las actualizaciones de versión del Dependabot de GitHub

Puede utilizar el Dependabot de GitHub para mantener los paquetes que utilizas actualizados a su versión más reciente.

En este artículo

¿Te ayudó este documento?

Nota: Las Actualizaciones de versión para el Dependabot de GitHub se encuentran actualmente en beta y están sujetas a cambios. Para utilizar la característica del beta, revisa el archivo de configuración para indicar al Dependabot de GitHub cuáles dependencias debe mantener para ti. Para obtener más detalles, consulta la sección "Habilitar e inhabilitar las actualizaciones de versión."

Acerca de Actualizaciones de versión para el Dependabot de GitHub

El Dependabot de GitHub hace el esfuerzo de mantener tus dependencias. Puedes utilizarlo para garantizar que tu repositorio se mantenga automáticamente con los últimos lanzamientos de los paquetes y aplicaciones de los que depende.

Puedes habilitar Actualizaciones de versión para el Dependabot de GitHub si seleccionas el archivo de configuración en tu repositorio. El archivo de configuración especifica la ubicación del manifiesto, u otros archivos de definición de paquetes, almacenado en tu repositorio. El Dependabot utiliza esta información para revisar los paquetes y las aplicaciones desactualizadas. El Dependabot determina si hay una versión nueva de una dependencia al buscar el versionamiento semántico (semver) de la dependencia para decidir si debería actualizarla a esa versión. Cuando el Dependabot identifica una dependencia desactualizada, levanta una solicitud de extracción para actualizar el manifiesto a su última versión de la dependencia. Verificas que tu prueba pase, revisas el registro de cambios y notas de lanzamiento que se incluyan en el resumen de la solicitud de extracción y, posteriormente, lo fusionas. Para obtener más información, consulta la sección "Habilitar e inhabilitar las actualizaciones de versión".

Si habilitas las actualizaciones de seguridad, el Dependabot de GitHub también levantará las solicitudes de extracción para actualizar las dependencias vulnerables. Para obtener más información, consulta la sección "Configurar las Actualizaciones de seguridad del Dependabot de GitHub".

En las Condiciones de Servicio de GitHub se incluyen al Dependabot de GitHub y a todas sus características relacionadas.

Frecuencia de las solicitudes de extracción del Dependabot de GitHub

Tú eres quien especifica qué tan a menudo se revisa cada ecosistema para encontrar nuevas versiones en el archivo de configuración: diario, semanalmente, o mensualmente.

Cuando habilitas las actualizaciones de versión por primera vez, podrías tener muchas dependencias desactualizadas y algunas podrían estar varias versiones debajo de la última. Dependabot de GitHub verifica las dependencias que estén desactualizadas tan pronto se habilita. Podrías ver nuevas solicitudes de extracción para las actualizaciones de versión después de algunos minutos de haber agregado el archivo de configuración, dependiendo de la cantidad de archivos de manifiesto para los cuales configuras las actualizaciones.

Para mantener la fácil administración y revisión de las solicitudes de extracción, Dependabot levanta un máximo de cinco solicitudes de extracción para comenzar a actualizar a las dependencias a su versión más reciente. Si fusionas algunas de estas primeras solicitudes de extracción antes de la siguiente actualización programada, entonces se abrirá un máximo de cinco solicitudes para todas aquellas subsecuentes (puedes cambiar este límite).

Si habilitaste las actualizaciones de seguridad, algunas veces verás solicitudes de extracción adicionales para actualizaciones de seguridad. Esto se activa con una alerta del Dependabot para una dependencia en tu rama predeterminada. El Dependabot de GitHub levanta automáticamente una solicitud de extracción para actualizar la dependencia vulnerable.

Repositorios y ecosistemas compatibles

Actualmente, Actualizaciones de versión para el Dependabot de GitHub no son compatibles con archivos de bloqueo o de manifiesto que contengan dependencias o registros de git privados. Esto es porque, cuando se ejecutan las actualizaciones de versión, Dependabot debe poder resolver todas las dependencias de su fuente para verificar que dichas actualizaciones de versión hayan sido exitosas.

Puedes configurar las actualizaciones de versión para los repositorios que contengan un manifiesto de dependencias o un archivo fijado para alguno de los administradores de paquetes compatibles.

  • Bundler: bundler
  • Cargo: cargo
  • Composer: composer
  • Docker: docker
  • Elm: elm
  • git submodule: gitsubmodule
  • GitHub Actions: github-actions
  • Go modules: gomod
  • Gradle: gradle
  • Maven: maven
  • Mix: mix
  • npm: npm
  • NuGet: nuget
  • pip: pip
  • Terraform: terraform

Si tu repositorio ya utiliza una integración para la administración de dependencias, necesitarás inhabilitarlo antes de habilitar el Dependabot de GitHub. Para obtener más información, consulta la sección "Acerca de las integraciones".

¿Te ayudó este documento?